SecurityInsider
Le blog des experts sécurité Wavestone

Hack In Paris 2015 : notre compte-rendu





La cinquième édition de la conférence de sécurité Hack In Paris s'est déroulée du 15 au 19 juin derniers. Au programme, des formations (du 15 au 17), suivies de deux jours de conférences.
Nouveauté cette année, la conférence se déroulait à l'académie Fratellini, et non à Disneyland Paris comme les éditions précédentes.

Après avoir animé une formation sur le test d'intrusion des SI industriels durant les trois premiers jours, nous avons assisté aux conférences. Retrouvez ci-dessous notre compte-rendu des interventions qui nous ont le plus marqué :


Keynote : analogue cyber security 

Winn Schwartau

Lors de cette conférence, Winn Schwartau nous présente plusieurs concepts issus du monde analogique et qui peuvent s’adapter à la sécurité de l’information.

Son premier constat est le manque de métrique en sécurité de l’information. Dans  le monde de la sécurité physique, pour les coffres-forts par exemple, il existe des “classes”, qui attestent de la résistance d’un matériel au feu pendant un laps de temps donné. Il évoque l’absence d’élément de ce type pour les firewalls. Évidemment, on ne peut transposer directement ce principe, puisqu’en sécurité de l’information, c’est bien les compétences et les moyens de l’attaquant qui vont déterminer sa capacité à pénétrer un réseau. On retiendra néanmoins la notion de “temps de résistance”, ou “temps de détection” d’une attaque, qui est une métrique rarement surveillée par les équipes sécurité.

Un autre concept intéressant évoqué est l’automatisation des réponses en cas de détection d’attaque ou de comportement anormal. En évoquant le concept de boucle de feedback négative, Winn Schwartau propose par exemple de réduire automatiquement la bande-passante réseau lors d’un incident, afin de réduire la quantité de données pouvant être exfiltrées.

Enfin, la notion de porte logique “ET” est évoquée, pouvant se transposer dans la sécurité informatique par la nécessité d’avoir un quorum de 2 administrateurs parmi X pour réaliser une action particulièrement sensible.

En conclusion, cette keynote était une théorisation de la sécurité de l’information, qui propose des parallèles intéressants mais faisait malheureusement l’impasse sur les différences fondamentales entre les mondes physique et logique qui rendent certaines des mesures proposées peu réalistes.

You Don’t Hear Me But Your Phone's Voice Interface Does

Jose Lopes Esteves and Chaouki Kasmi

Cette conférence reprend les travaux déjà présenté au SSTIC. Il s’agit d’exploiter les kits mains-libres sous forme d’oreillettes fournis avec la plupart des smartphones actuels.

En utilisant une antenne assez puissante, les auteurs ont pu envoyer des signaux qui sont interprétés par les smartphones comme des commandes vocales, de type ‘Siri” ou “OK Google”. Il est ainsi possible d’extraire des données de téléphones verrouillés. Cette attaque a été démontrée viable à une distance d’environ 5m avec un matériel portable, et environ 20m depuis une station fixe (type camionnette).

Afin de se prémunir de ce type d’attaque, les seules recommandations réalistes sont l’utilisation d’écouteurs sans micro, ou tout simplement la désactivation des commandes vocales.
Après discussion avec les auteurs, l’utilisation d’écouteurs disposant d’un blindage renforcé par rapport à ceux fournis par défaut avec les ordiphones nécessiterait une puissance d’antenne bien supérieure et complexifierait également l’attaque.

Copy & Pest : A Case-Study On The Clipboard, Blind Trust And Invisible Cross-Application XSS

Mario Heiderich

Le “clipboard”, ou presse papier, peut contenir bien plus d’informations que l’on peut l’imaginer. Chaque application peut en effet stocker des informations dans des “buckets”, et ce sous plusieurs formats : texte brut, RTF, HTML etc.

L’auteur nous présente ici un nouveau vecteur d’attaque XSS, par le copier/coller de données depuis une application externe dans un navigateur (par exemple, lors de la rédaction d’un email).
Pour réaliser ce type d’attaque, on peut créer un nom de police contenant du code HTML/Javascript dans un document OpenOffice, puis copier/coller le contenu dans un site vulnérable.
Les navigateurs web disposent cependant de filtres qui empêchent l’exécution de XSS triviaux. L’auteur a néanmoins pu contourner ce filtrage via l’injection de code dans des balises SVG. Des correctifs sont en cours de publication par les principaux navigateurs.

Ce type de vulnérabilité se retrouve également via le copier/coller depuis de nombreuses applications source : XPS/Office/PDF…
De même, la vulnérabilité inverse a également été identifiée : lors de la réalisation d’un copier/coller depuis un site malveillant dans un document Office, il est possible de procéder à de l’exécution de certaines commandes, notamment un scanneur de port.

Backdooring X11 With Much Class And No Privileges

Matias Katz

L’auteur nous présente ici ses recherches concernant la mise au point d’une porte dérobée discrète, permettant d’accéder à un PC verrouillé.
Pour cela, après avoir exploré plusieurs options, il nous présente le middleware “dbus”, utilisé par la quasi-totalité des distributions Linux pour l’interaction avec les composants matériels depuis un compte utilisateur standard.

Ainsi, deux possibilité ont été évoquées et ont fait l’objet d’une démonstration :
  • L’utilisation d’une clé USB comme dispositif de verrouillage : si la clé est retirée, il n’est plus possible de se connecter au PC ;
  • L’utilisation de la prise jack comme backdoor. Un script Python permet de désactiver le verrouillage de l’écran lors de la réalisation d’une séquence “casque branché / débranché/ branché “ par exemple.
Néanmoins, l’implant nécessaire à mettre en place une telle backdoor n’a pas été évoqué. L’utilisation d’un simple script Python dans le cron semble ne pas résister longtemps à une investigation inforensique.

Bootkit via SMS: 4G Access Level Security Assessment

Timur Yunusov

Deux chercheurs de la team Scada Strangelove ont présenté leurs travaux sur la sécurité des réseaux 4G, axée sur tout ce qui concerne l’accès au réseau. Plusieurs constats intéressant ont été présentés :
  • La présence, exposés sur Internet, d’équipements d’accès au réseau appartenant aux opérateurs.
  • Des vulnérabilités dans les modems USB 4G ainsi que dans les portails utilisateurs. Ainsi, une démonstration d’attaque XSS par SMS a été effectuée. L’envoi de code HTML/Javascript dans un SMS, puis l’accès au portail web permettant aux utilisateurs de suivre leur consommation et consulter leurs messages permet d’usurper l’identité de l’utilisateur.
  • La dernière partie était consacrée à la sécurité des cartes SIM, mais malheureusement cette partie n’a pas pu être traitée en entier.

Server-Side Browsing Considered Harmful

Nicolas Grégoire

Lors de cette intervention très intéressante, Nicolas Grégoire présente les vulnérabilités de type SSRF, ainsi que certaines exploitations réalisées dans le cadre de Bug Bounties.

Les attaques SSRF (Server-Side Request Forgery) consistent à faire réaliser des requêtes aux serveurs applicatifs, à partir de données envoyées côté client. Ainsi, on peut par exemple arriver à accéder indirectement à des services exposés uniquement sur le réseau interne.

Les attaques les plus basiques exploitant ces failles sont la création de scanneurs de port sur le réseau interne. Mais bien d’autres exploitations sont possibles : accès à des informations sensibles via des interfaces de gestion accessibles uniquement depuis le réseau privé. On se prémunit généralement de ce type d’attaques par la mise en place de filtres de type liste noire; l’auteur a présenté plusieurs scénarii de contournement, notamment via l’utilisation des innombrables représentations possibles d’une adresse IP :


SAP Security: Real‐Life Attacks To Business Processes

ARSAL ERTUNGA

L’auteur a présenté ici des scénarii d’attaque sur les systèmes SAP. La sécurité de ces systèmes est généralement peu prise en compte, bien qu’ils s’interfacent avec la quasi-totalité d’un système d’information (et parfois même à des systèmes d’informations industriels).

Après une démonstration d’un outil nommé “sapsucker” pour exploiter une vulnérabilité connue dans SAP, l’auteur a évoqué le stockage de données bancaires dans ces systèmes. En effet, une fois le contrôle pris sur un système SAP, une attaque intéressante à mener est la modification des RIB des fournisseurs. Ainsi, la prochaine facture d’un montant élevé fera l’objet d’un virement sur le compte de l’attaquant.

Les systèmes SAP manipulent aussi fréquemment des données carte bleues; l’auteur a identifié plus de 50 tables dans SAP qui peuvent contenir ce type de données. En cas de conformité PCI-DSS, ces données sont chiffrées mais un attaquant disposant de privilèges importants peut alors invoquer la fonction de déchiffrement.

Oracle PeopleSoft applications are under attack!

Alexey GreenDog Tyurin

Oracle PeopleSoft est un logiciel destiné aux entreprises et permettant la gestion des ressources humaines, de la supply chain, de la relation client (CRM). Bref, un applicatif central contenant des données critiques. L’auteur a présenté lors de cette intervention les faiblesses de sécurité de cette solution.

Peoplesoft repose sur le serveur applicatif Oracle Weblogic. Cependant, l’installation qui en est faite avec Peoplesoft ne dispose pas de tous les mécanismes de sécurité que l’on retrouve habituellement sur Weblogic. L’auteur a mis en avant une vulnérabilité de contrôle d’accès, permettant à un attaquant disposant d’un compte à faibles privilèges d’utiliser une fonction d’administration permettant d’ajouter une application, et donc d’exécuter du code sur le serveur.

Ensuite, les mécanismes d’authentification à PeopleSoft ont été évoqués. L’analyse de la documentation permet de comprendre la construction des cookies de session. Contrairement aux bonnes pratiques, la valeur de ceux-ci n’est pas aléatoire, mais générée en fonction d’un ensemble de données (timestamp, nom de l’utilisateur, mot de passe du serveur PeopleSoft) puis hashée via l’algorithme SHA-1. Évidemment, les capacités de calcul actuelles permettent rapidement de casser ce condensat et d’identifier le mot de passe du serveur. On peut alors forger un cookie contenant le nom d’un autre utilisateur et usurper son identité. Cette attaque est d’autant plus intéressante que certaines fonctions de PeopleSoft délivrent un cookie aux utilisateurs non-authentifiés. Il n’est donc même pas nécessaire d’avoir un compte légitime pour forger un cookie et usurper l’identité de tout utilisateur.

Nuit du Hack

Comme chaque année, la Nuit du Hack faisait suite à Hack In Paris et rassemblait plus de 1500 personnes pour une journée de conférences, et une nuit de workshop et de CTF. 

Vous pouvez également retrouver un compte-rendu de Hack In Paris et de la Nuit du Hack dans le podcast NoLimitSécu auxquels nous avons participé : http://www.nolimitsecu.fr/hip-ndh-2015/


Arnaud SOULLIE

Aucun commentaire:

Enregistrer un commentaire